Компанія ESET повідомляє про виявлення активності російських кібершпигунів, спрямованої на українські державні установи або оборонні компанії в Болгарії та Румунії з метою викрадення конфіденційних даних із певних облікових записів електронної пошти. Варто зазначити, що деякі з цих оборонних підприємств виробляють зброю радянських часів для відправлення в Україну. Серед інших цілей – уряди країн Африки, ЄС та Південної Америки. За цим, найімовірніше, стоїть пов’язана з росією група кібершпигунів Sednit (також відома як Fancy Bear).

«Минулого року ми зафіксували, як різні уразливості XSS використовувалися під час атак на додаткове програмне забезпечення для вебпошти: Horde, MDaemon та Zimbra. Sednit також почала використовувати новішу уразливість CVE-2023-43770 у Roundcube. Уразливість CVE-2024-11182 у MDaemon, яка наразі виправлена, була «0-денною» уразливістю, найімовірніше, виявлена ​​Sednit, тоді як уразливості для Horde, Roundcube та Zimbra вже були відомі та виправлені», — коментує Метьє Фау, дослідник ESET.

Як діють зловмисники?

Група Sednit надсилає експлойти XSS електронною поштою, які призводять до виконання шкідливого коду JavaScript у контексті вебсторінки клієнта вебпошти, що працює у вікні браузера. Таким чином, лише дані, доступні з облікового запису жертви, можуть бути прочитані та перехоплені.

Щоб експлойт спрацював, жертва повинна відкрити повідомлення електронної пошти на уразливому порталі вебпошти. Це означає, що електронний лист має обійти будь-яку фільтрацію спаму, а тема має бути достатньо переконливою, щоб спонукати жертву прочитати електронне повідомлення. Саме тому зловмисники використовують у шкідливих листах назви відомих ЗМІ, такі як українське інформаційне видання Kyiv Post або болгарський новинний портал News.bg. Серед заголовків, які використовували шпигуни: «СБУ заарештувала банкіра, який працював на ворожу військову розвідку в Харкові» або «Путін домагається від Трампа прийняття російських умов у двосторонніх відносинах».

Зловмисники запускають компоненти JavaScript SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE та SpyPress.ZIMBRA. Вони здатні викрасти облікові дані, перехоплювати адресну книгу, контакти та історії входів, а також повідомлення електронної пошти. SpyPress.MDAEMON може налаштувати обхід двофакторної автентифікації, зокрема перехоплювати секретний код двофакторної автентифікації та створювати пароль програми, який дозволяє зловмисникам отримати доступ до поштової скриньки з програми.

«Протягом останніх двох років сервери вебпошти, такі як Roundcube та Zimbra, були основною мішенню для кількох шпигунських груп, таких як Sednit, GreenCube та Winter Vivern. Оскільки багато організацій вчасно не оновлюють свої сервери вебпошти, а уразливості активуются віддалено шляхом відправки повідомлень електронної пошти, зловмисникам дуже легко націлюватися на такі сервери для викрадення електронних листів», — пояснює дослідник ESET.

Група Sednit, також відома як APT28, Fancy Bear, Forest Blizzard або Sofacy, діє принаймні з 2004 року. У Міністерстві юстиції США назвали групу однією із відповідальних за злам Національного комітету Демократичної партії (DNC) безпосередньо перед виборами 2016 року у США та пов’язали групу з ГРУ. Також припускають, що група відповідальна за злам глобальної телевізійної мережі TV5Monde, витік електронної пошти Всесвітнього антидопінгового агентства (WADA) та багато інших інцидентів.

Щоб не стати жертвою подібних атак, слід уникати відкриття підозрілих повідомлень чи листів та завантаження невідомих файлів в електронній пошті. Також варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR), а також управління уразливостями та виправленнями.

Ця стаття Російські хакери атакують державні установи й оборонні компанії в Україні та ЄС раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Корпорація Microsoft опублікувала попередження про триваючу фішингову кампанію від хакерської групи Midnight Blizzard, яку влада США і Великобританії пов’язує з розвідувальними службами росії.

Компанія заявила, що виявила, що зловмисник розсилає «вузькоспрямовані фішингові електронні листи» щонайменше з 22 жовтня, і що, на її думку, метою цієї операції є збір розвідувальної інформації. За її спостереженнями, група надсилає електронні листи особам, пов’язаним з різними секторами, але вона відома тим, що націлена як на урядові, так і на неурядові організації, постачальників ІТ-послуг, науковців та представників оборонного сектору. Крім того, хоча ця кампанія здебільшого зосереджена на організаціях у США, Україні та Європі, вона також націлена на приватних осіб в Австралії та Японії.

За даними Microsoft, Midnight Blizzard вже розіслала тисячі фішингових електронних листів понад 100 організаціям, пояснивши, що ці листи містять підписаний протокол віддаленого робочого столу (RDP), підключений до сервера, який контролює зловмисник. Група використовувала адреси електронної пошти, що належать реальним організаціям, викрадені під час її попередньої діяльності, змушуючи жертв думати, що вони відкривають легальні електронні листи. Вона також використовувала методи соціальної інженерії, щоб створити враження, ніби електронні листи були надіслані працівниками Microsoft або Amazon Web Services.

Як відбувається атака?

Якщо хтось натискає і відкриває RDP-вкладення, встановлюється з’єднання з сервером, який контролює Midnight Blizzard. Це дає зловмиснику доступ до файлів жертви, будь-яких мережевих дисків або периферійних пристроїв (наприклад, мікрофонів і принтерів), підключених до її комп’ютера, а також до її паролів, ключів безпеки та іншої інформації про веб-автентифікацію. Вони також можуть встановлювати шкідливе програмне забезпечення на комп’ютер і мережу жертви, в тому числі трояни для віддаленого доступу, які можуть залишатися в системі жертви навіть після того, як первинне з’єднання було розірвано.

Група відома під багатьма іншими іменами, такими як Cozy Bear та APT29, але ви, можливо, пам’ятаєте її як суб’єкта загрози, що стоїть за атаками SolarWinds 2020 року, в ході яких їй вдалося проникнути в сотні організацій по всьому світу. На початку цього року він також зламав електронну пошту кількох вищих керівників Microsoft та інших співробітників, отримавши доступ до комунікації між компанією та її клієнтами. Microsoft не повідомила, чи пов’язана ця кампанія з президентськими виборами в США, але радить потенційним жертвам бути більш проактивними у захисті своїх систем.

Ця стаття Microsoft попереджає: російські хакери проводять операцію зі збору розвідувальних даних раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Питання кіберзахисту України стало ще актуальнішим з початком повномасштабного вторгнення росії на територію держави. За два місяці 2024 року CERT-UA вже зафіксував 695 кібератак, що вдвічі більше ніж за аналогічний період 2023 року.

Якщо у більшості країн світу кібератаки відбуваються з метою отримання фінансової винагороди, то в Україні вони переважно скеровані на державні, енергетичні чи телекомунікаційні установи з метою дестабілізації їхньої роботи. Основною причиною атак на українські компанії є геополітична ситуація та війна з росією, а кількість таких атак сягає до тисячі за місяць. Для порівняння, з початку 2022 до кінця 2023 року російські хакери здійснили 3255 кібератаки, з них 574 були скеровані на Україну.

Читайте також: Google: “Війна в Україні сколихнула екосистему кіберзлочинців”

Отже, поговоримо про те, яких змін зараз зазнає кібероборона України, про що вони свідчать і якими мають бути наступні кроки?

Засвідчення кібератак

За два роки війни в Україні кількість кіберзагроз значно зросла, а їхній ландшафт видозмінився. У звіті «Туман війни: як конфлікт в Україні змінив ландшафт кіберзагроз» на основі аналізу Threat Analysis Group (TAG), Mandiant, Google Trust & Safety за 2023 рік йдеться про те, що секторами, які найактивніше атакують росіяни, є: урядові установи, об’єкти критичної інфраструктури, комунальних та держслужб, а також ЗМІ.

Тобто ворог використовує усі можливі інформаційні платформи, аби приховати справжню картину подій в Україні та показати своїм співвітчизникам викривлену реальність. Для чого це робиться? Усе просто. Таким чином агресор намагається викликати недовіру до українського уряду як у громадян, так і в міжнародних партнерів, підтримка яких надважлива для України.

Спеціалісти провідних міжнародних компаній, таких як Google, говорять про надзвичайну активність проросійської пропаганди. Так, кібероперації зловмисників активізувалися ще з 2021 року для підготовки до вторгнення. А у 2022 році росія майже утричі збільшила таргетинг на українських користувачів і на 300% на користувачів із країн НАТО.

Статистика від ДЦКЗ

За даними Державного центру кіберзахисту Держзв’язку, за 2023 рік Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA зафіксувала 2544 кіберінциденти. Це на 16% більше ніж у 2022 році. Найбільш привабливими цілями для кібератак залишаються державні установи, сектори безпеки та оборони, енергетика та телекомунікації. На ці чотири сфери припадає 40% усіх атак. У переліку кіберінцидентів найпоширенішими є шкідливі програмні коди, збір інформації зловмисником, порушення властивості інформації та її доступності тощо.

Міжнародна кібердопомога

За прогнозами, росія не зупиниться і продовжуватиме атакувати кіберпростір для досягнення своїх стратегічних цілей. Здебільшого ці атаки стосуватимуться України, щоб показати уявну ситуацію на полі бою, зокрема бойові втрати в ЗСУ, зниження рівня військової підтримки від інших країн, послаблення співпраці з партнерами в НАТО. Але ці дезінформаційні атаки замість бажаного ворогом ефекту можуть мати й протилежний наслідок: наприклад, посилення протидії російській агресії.

Останнім часом рівень кібероборони з боку урядів, компаній та зацікавлених сторін у сфері безпеки значно виріс. А такі компанії, як Google, прагнуть допомогти і підтримувати спільну кібероборону, щоб убезпечити уряди і користувачів від руйнівних дій росії.

Найбільш розповсюдженими серед кіберінцидентів лишаються такі методи, як фішинг, програми-шкідники і злами систем через вразливість. Окрім державного і енергетичного секторів, значних ударів також зазнають сфери фінансів, телекомунікаційні та ІТ-компанії. Як же зарадити цьому і мінімізувати наслідки атак? Відповідь очевидна: потрібно прокачувати навички співробітників щодо роботи з даними та інформацією, залучаючи провідних спеціалістів.

Читайте також: «Рай для шахраїв» — Telegram є набільшим темним ринком інструментів для фішингу

Фішинг як найчастіша загроза приватним даним

За допомогою цього виду шахрайства зловмисники розкривають конфіденційну інформацію через дії самих користувачів. Наприклад, ви раптом можете отримати електронного листа, в якому вам запропонують підтвердити реєстрацію облікового запису на відомому сайті. А насправді цей сайт лише буде подібним до оригінального за своїм оформленням. Також вам можуть прислати лист-запит на підтвердження банківського рахунку, нібито з вашого банку, що теж буде спробою обману.

Читайте також: Google експериментує з використанням штучного інтелекту для виявлення фішингових загроз і запобігання шахрайству

Фішингові сайти часто максимально подібні за дизайном на відомі ресурси, задіяні у сфері популярних послуг, за які передбачається онлайн-оплата. Проблема полягає у тому, що нові технології на базі штучного інтелекту також використовуються зловмисниками, і відрізнити шахрайські матеріали від справжніх стає все складніше.

У 2023 році Tet виявив та опрацював 65,5 млн підозрілих електронних листів. 247 тисяч з них були уражені вірусами або містили шкідливі програми. Завдяки доступу до корпоративної електронної пошти можна підробити рахунки-фактури і скерувати такі платежі на рахунки шахраїв. Поліпшення якості таких підробок веде до того, що стає важко зрозуміти, чи ви спілкуєтеся з реальною особою, чи з шахраєм.

«Декілька років тому ми розпочали виконувати навчальні тестування фішингових атак у компанії, щоб захистити мережеву інфраструктуру та навчитися цифровій безпеці. Перші результати не дуже нас потішили, проте зараз більшість наших співробітників навчилися одразу ж помічати такі ознаки фішингу, як некоректний домен, з якого відправляється лист, або підозріле інтернет-посилання у листі, та реагують відповідно», — ділиться досвідом Дмитро Нікітін, CTO Tet.

Щоб захиститися від такого типу загроз, потрібно навчати співробітників проявляти пильність, особливо звертати увагу на написання URL-адреси, тому що різниця між фішинговим сайтом і справжнім може бути лише в одній літері або цифрі. Ніколи не переходити за підозрілими посиланнями, не натискати на спливну рекламу. Під час онлайн-шопінгу важливо спілкуватися з продавцем лише у чаті офіційного сайту або за телефоном. Головне — не переходити у месенджери, тому що саме там найчастіше можна натрапити на фішингові лінки від шахраїв.

Правильним кроком також буде регулярне створення резервних копій важливих даних на зовнішньому носії або в хмарному сервісі, відстежувати власні банківські рахунки та рахунки кредитних карток на наявність підозрілих транзакцій.

Досвід кібероборони Tet

Кількість DDoS-атак (відмова в обслуговуванні) в 2023 році також зросла на 30%. До прикладу, латвійський телеком-гігант Tet виявив 4 353 таких випадків. Наймасовіше зловмисники атакували компанії у квітні (до 83 Гбіт/с) та у серпні.

Кількість виявлених і відбитих DDoS-атак на Tet або атак на відмову в доступі за перші чотири місяці цього року зросла на 53% порівняно з аналогічним періодом минулого року. 577 DDoS-атак здійснено зі швидкістю понад 1 Гбіт/с. За останні роки Tet спостерігав різні типи таких атак, зокрема на масштабні додатки, а також атаки на інфраструктуру DNS. Також виявлені тривалі DDoS-атаки. До прикладу, на початку цього року IP-адреси одного з клієнтів були атаковані протягом п’яти днів.

Дмитро Нікітін наголошує, що ризик кібербезпеки залишається високим для всіх — як для приватних, так і для бізнес-клієнтів. Тому важливо навчатися основним принципам і бути обізнаним у питаннях кібербезпеки, оскільки зловмисники також постійно вивчають нові методи атак.

Надійні паролі допомагають

Користувачі здебільшого створюють короткі паролі. Їх легше запам’ятати, але й так само просто вгадати. До того ж, для декількох акаунтів на різних платформах користувачі нерідко встановлюють однаковий пароль. Це ставить під загрозу конфіденційність приватних та бізнес-даних.

Кіберзлочинці часто використовують прямі атаки для отримання доступу до конфіденційних даних і мереж організації — тобто використовують списки поширених, ймовірних і навіть зламаних паролів для систематичного підбору їх до електронної пошти користувача та інших облікових записів. Тому якщо пароль інстаграма збігається з паролем онлайн-банкінгу, кіберзлочинці легко отримають доступ до важливіших конфіденційних даних, ніж фотографії.

Створювати довгі, складні паролі (і запам’ятовувати їх) для кожного окремого ресурсу складно, тому варто використовувати менеджер паролів. Такі програми зберігають дані у зашифрованій пам’яті, а потім автоматично використовуються під час входу на певний сайт.

Ви можете встановити цю програму як у себе на комп’ютері, так і в мобільному телефоні. Завдяки цьому вам не доведеться щоразу генерувати нові паролі й запам’ятовувати їх.

Також ви можете використовувати ключі доступу (passkey) – це безпарольний метод автентифікації для веб-сайтів та додатків. Passkey – це стандарт, який просувають Google, Apple, Microsoft, Консорціум Всесвітньої павутини та Альянс FIDO.

Багатофакторна аутентифікація як додатковий бар’єр

Не варто розраховувати лише на пароль, яким би складним він не був. Експерти з кібербезпеки сходяться на тому, що відсутність двофакторної аутентифікації підвищує ризик взлому облікових записів.

За двофакторну автентифікацію «голосує» і державна команда реагування на комп’ютерні надзвичайні події України. Так, CERT-UA розробила інструкцію щодо встановлення двоетапної аутентифікації в популярних месенджерах.

«Двофакторна ідентифікація є запорукою збереження конфіденційності ваших даних, а також додатковим бар’єром для шахраїв, що намагатимуться викрасти обліковий запис чи ініціювати збір коштів ід вашого імені», — наполягають у відомстві.

Очевидно, що попереду на Україну чекає ще багато битв на кіберфронті. Проте країна має достатньо інформації та ресурсів, щоб протистояти їм і навіть використовувати на свою користь. Що можна зробити вже зараз? Навчатися, заповнювати прогалини у сфері кібербезпеки і бути певними, що перемога за тими, хто володіє даними та інформацією.

Як українська кіберполіція бореться з російськими хакерами

Ця стаття Кібероборона України: тенденції та перспективи раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У п’ятницю Чехія і Німеччина виявили, що вони стали об’єктом довгострокової кампанії кібершпигунства, яку проводила пов’язана з росією організація APT28, що викликало засудження з боку Європейського Союзу, НАТО, Великої Британії та Сполучених Штатів.

Міністерство закордонних справ Чеської Республіки у своїй заяві повідомило, що деякі неназвані організації в країні були атаковані з використанням вразливості в системі безпеки Microsoft Outlook, про яку стало відомо на початку минулого року.

“Кібератаки, спрямовані на політичні організації, державні установи та об’єкти критичної інфраструктури, не лише становлять загрозу національній безпеці, але й підривають демократичні процеси, на яких базується наше вільне суспільство”, – заявили в МЗС.

Вразливість, про яку йдеться, – це CVE-2023-23397, нині виправлена критична помилка підвищення привілеїв в Outlook, яка може дозволити зловмиснику отримати доступ до хешів Net-NTLMv2, а потім використати їх для аутентифікації за допомогою ретрансляційної атаки.

Федеральний уряд Німеччини (Bundesregierung) пов’язав зловмисника з кібератакою на Виконавчий комітет Соціал-демократичної партії, який протягом “відносно тривалого періоду” використовував ту саму вразливість в Outlook, що дозволило йому “скомпрометувати численні електронні поштові скриньки”.

Деякі з галузевих вертикалей, на які спрямована кампанія, включають логістику, озброєння, авіаційну та космічну промисловість, ІТ-послуги, фонди та асоціації, розташовані в Німеччині, Україні та Європі, причому Федеральне відомство також пов’язує цю групу з атакою на німецький федеральний парламент (Бундестаг) у 2015 році.

APT28, яка, за оцінками, пов’язана з військовою частиною 26165 ГРУ ГШ ЗС РФ, також відстежується ширшою спільнотою фахівців з кібербезпеки під назвами BlueDelta, Fancy Bear, Forest Blizzard (раніше Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy і TA422.

Наприкінці минулого місяця корпорація Microsoft звинуватила хакерську групу у використанні компонента Microsoft Windows Print Spooler (CVE-2022-38028, оцінка CVSS: 7,8) в якості нульового дня для доставки раніше невідомого спеціального шкідливого програмного забезпечення під назвою GooseEgg для проникнення в українські, західноєвропейські та північноамериканські урядові, неурядові, освітні та транспортні організації.

НАТО заявила, що гібридні дії росії “становлять загрозу безпеці Альянсу”. Рада Європейського Союзу також підтримала цю позицію, заявивши, що “зловмисна кібер-кампанія демонструє безперервну модель безвідповідальної поведінки росії в кіберпросторі”.

“Нещодавня активність кібергрупи ГРУ росії APT28, включаючи атаку на керівництво Соціал-демократичної партії Німеччини, є останнім прикладом відомої моделі поведінки російських спецслужб, спрямованої на підрив демократичних процесів у всьому світі”, – заявив уряд Великої Британії.

Державний департамент США заявив, що APT28 відома своєю “зловмисною, підлою, дестабілізуючою і підривною поведінкою”, а також тим, що вона віддана “безпеці наших союзників і партнерів і підтримці міжнародного порядку, заснованого на правилах, в тому числі в кіберпросторі”.

Раніше в лютому цього року скоординовані дії правоохоронних органів зруйнували ботнет, що складався з сотень малих офісних і домашніх маршрутизаторів (SOHO) в США і Німеччині, які, як вважають, учасники APT28 використовували для приховування своєї зловмисної діяльності, наприклад, використання CVE-2023-23397 проти цілей, що становлять інтерес для них.

Згідно зі звітом компанії з кібербезпеки Trend Micro, опублікованим цього тижня, сторонній злочинний проксі-ботнет існує з 2016 року і складається не лише з роутерів Ubiquiti, але й з інших роутерів на базі Linux, пристроїв Raspberry Pi та віртуальних приватних серверів (VPS).

“Суб’єкт загрози [що стоїть за ботнетом] зміг перемістити частину ботів EdgeRouter з командно-контрольного сервера, який було виведено з ладу 26 січня 2024 року, на новостворену інфраструктуру на початку лютого 2024 року”, – заявили в компанії, додавши, що юридичні обмеження та технічні проблеми завадили ретельному очищенню всіх захоплених роутерів.

Згідно з оцінкою, оприлюдненою минулого тижня дочірньою компанією Google Cloud Mandiant, яка займається розробкою хмарних технологій, що фінансується державою, – крадіжка даних, деструктивні атаки, DDoS-кампанії та операції впливу – також можуть становити серйозну загрозу для виборів у таких регіонах, як США, Великобританія та ЄС, з боку численних груп, таких як APT28, APT29, APT44 (також відома як Sandworm), COLDRIVER і KillNet.

“У 2016 році пов’язаний з ГРУ APT28 скомпрометував цілі організації Демократичної партії США, а також особистий акаунт голови передвиборчої кампанії кандидата в президенти від Демократичної партії і організував кампанію з витоку даних напередодні президентських виборів 2016 року”, – зазначають дослідники Келлі Вандерлі та Джеймі Колльєр.

Крім того, дані Cloudflare та NETSCOUT свідчать про сплеск DDoS-атак на Швецію після її вступу до альянсу НАТО, що повторює картину, яка спостерігалася під час вступу Фінляндії до НАТО у 2023 році.

“Ймовірними винуватцями цих атак є хакерські групи NoName057, Anonymous Sudan, Russian Cyber Army Team і KillNet”, – заявили в NETSCOUT. “Всі ці групи є політично мотивованими і підтримують російські ідеали”.

Ці події відбуваються в той час, коли урядові установи Канади, Великобританії та США випустили новий спільний інформаційний бюлетень, щоб допомогти захистити організації критичної інфраструктури від постійних атак, які з 2022 року здійснюються проросійськими хактивістами проти промислових систем управління (ICS) та малих систем операційних технологій (OT).

“Діяльність проросійських хактивістів здебільшого обмежується нескладними методами, які маніпулюють обладнанням ICS для створення неприємних ефектів, – зазначають агентства. “Однак розслідування показали, що ці суб’єкти здатні застосовувати методи, які становлять фізичну загрозу для незахищених і неправильно налаштованих середовищ відкритих даних”.

Цілями цих атак є організації в північноамериканських і європейських секторах критичної інфраструктури, включаючи системи водопостачання та водовідведення, дамби, енергетику, харчову промисловість і сільське господарство.

Хактивістські групи отримують віддалений доступ, використовуючи публічно доступні підключення до Інтернету, а також заводські паролі за замовчуванням, пов’язані з людино-машинними інтерфейсами (HMI), поширеними в таких середовищах, з подальшим втручанням у критично важливі параметри, вимкненням механізмів сигналізації та блокуванням доступу операторів шляхом зміни адміністративних паролів.

Рекомендації щодо зменшення загрози включають зміцнення людино-машинних інтерфейсів, обмеження доступу ОТ-систем до Інтернету, використання надійних та унікальних паролів, а також впровадження багатофакторної автентифікації для всіх доступів до ОТ-мережі.

“Ці хактивісти намагаються скомпрометувати модульні промислові системи управління (АСУ ТП), що мають доступ до Інтернету, через їхні програмні компоненти, такі як людино-машинні інтерфейси (HMI), використовуючи програмне забезпечення для віддаленого доступу до віртуальних мережевих обчислень (VNC) і паролі за замовчуванням”, – йдеться в повідомленні.

Російські хакери могли атакувати українські телеком-компанії за допомогою оновленого вірусу AcidPour

Ця стаття Вразливість Microsoft Outlook використовується російськими хакерами APT28 для злому чеських та німецьких організацій раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Шкідливе програмне забезпечення для знищення даних під назвою AcidPour, можливо, використовувалося для атак на чотирьох телекомунікаційних провайдерів в Україні, свідчать нові дані компанії SentinelOne.

Фірма з кібербезпеки також підтвердила зв’язок між шкідливим програмним забезпеченням і AcidRain, пов’язавши його з кластерами загрозливої активності, пов’язаними з російською військовою розвідкою.

“Розширені можливості AcidPour дозволять йому краще виводити з ладу вбудовані пристрої, в тому числі мережеві, IoT, великі сховища (RAID) і, можливо, пристрої ICS під управлінням дистрибутивів Linux x86”, – зазначають дослідники безпеки Хуан Андрес Герреро-Сааде і Том Хегель.

AcidPour – це різновид AcidRain, який використовувався для виведення з ладу модемів Viasat KA-SAT на початку російсько-української війни в 2022 році та виведення з ладу військового зв’язку України.

Він також спирається на можливості останнього, але націлений на системи Linux, що працюють на архітектурі x86. AcidRain, з іншого боку, скомпільований для архітектури MIPS.

Якщо AcidRain був більш універсальним, то AcidPour включає логіку для вбудованих пристроїв, мереж зберігання даних (SAN), пристроїв мережевого зберігання даних (NAS) і виділених RAID-масивів.

Тим не менш, обидва напрямки перетинаються, коли мова йде про використання викликів перезавантаження і методу, що використовується для рекурсивного очищення каталогів. Також ідентичним є механізм знищення пристроїв на основі IOCTL, який також має спільні риси з іншим шкідливим програмним забезпеченням, пов’язаним з Sandworm, відомим під назвою VPNFilter.

“Одним з найцікавіших аспектів AcidPour є його стиль кодування, що нагадує прагматичний CaddyWiper, який широко використовується проти українських цілей разом з такими відомими шкідливими програмами, як Industroyer 2″, – зазначають дослідники.

Шкідливе програмне забезпечення на мові C має функцію самознищення, яка перезаписує себе на диск на початку свого виконання, а також застосовує альтернативний підхід до стирання залежно від типу пристрою.

AcidPour приписують хакерській групі UAC-0165, яка асоціюється з Sandworm і має послужний список атак на об’єкти критичної інфраструктури України.

Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) у жовтні 2023 року встановила причетність зловмисників до атак на щонайменше 11 провайдерів телекомунікаційних послуг у країні в період з травня по вересень минулого року.

“[AcidPour] міг бути використаний у 2023 році, – сказав Гегель в інтерв’ю The Hacker News. “Цілком ймовірно, що зловмисники використовували інструментарій, пов’язаний з AcidRain/AcidPour, послідовно протягом всієї війни. Прогалина в цій перспективі свідчить про рівень розуміння громадськістю кібервторгнень – як правило, досить обмежений і неповний”.

Зв’язок із Sandworm ще більше підкріплюється тим фактом, що суб’єкт загрози, відомий як Солнцепек (він же Solntsepek або SolntsepekZ), заявив, що проник до чотирьох різних телекомунікаційних операторів в Україні і порушив роботу їхніх служб 13 березня 2024 року, за три дні до виявлення AcidPour.

За даними Державної служби спеціального зв’язку та захисту інформації України (ДССЗЗІ), “Солнцепек” є російською сучасною персистентною загрозою (APT), яка, ймовірно, пов’язана з головним управлінням генерального штабу збройних сил російської федерації (ГРУ), яке також оперує Sandworm.

Варто зазначити, що “Солнцепек” також звинувачували у зламі систем “Київстар” ще у травні 2023 року. Про злам стало відомо наприкінці грудня.

Хоча наразі незрозуміло, чи використовувався AcidPour під час останньої серії атак, це відкриття свідчить про те, що зловмисники постійно вдосконалюють свою тактику для проведення руйнівних атак і нанесення значних операційних збитків.

“Ця прогресія свідчить не лише про вдосконалення технічних можливостей зловмисників, але й про їхній виважений підхід до вибору цілей, які максимізують подальші ефекти, порушуючи критично важливу інфраструктуру та комунікації”, – зазначають дослідники.

Ця стаття Російські хакери могли атакувати українські телеком-компанії за допомогою оновленого вірусу AcidPour раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Словацька компанія ESET, що спеціалізується на кібербезпеці, опублікувала звіт про кібератаку під кодовою назвою “Операція Texonto”, яка була спрямована на українців, які живуть в Україні та за кордоном. Цілями атаки могли бути як звичайні користувачі, так і державні установи та військові.

ESET пов’язує цю діяльність із суб’єктами загроз російського походження, а також виявила фішингову кампанію, спрямовану на українську оборонну компанію в жовтні 2023 року та агентство Європейського Союзу в листопаді 2023 року, яка мала на меті зібрати облікові дані для входу в систему Microsoft за допомогою фальшивих цільових сторінок.

Операція “Texonto”, як була закодована вся кампанія, не була пов’язана з конкретним суб’єктом загрози, хоча деякі її елементи, зокрема, фішингові атаки, перегукуються з операцією COLDRIVER, яка має історію збору облікових даних через фальшиві сторінки для входу в систему.

Перша хвиля дезинформації

Операція з дезінформації відбувалася у дві хвилі в листопаді та грудні 2023 року, а електронні повідомлення містили вкладення у форматі PDF та вміст, пов’язаний з перебоями в опаленні, дефіцитом ліків та продуктів харчування.

Листопадова хвиля була спрямована на щонайменше кілька сотень одержувачів в Україні, включаючи уряд, енергетичні компанії та приватних осіб. Наразі невідомо, як було створено список адресатів.

“Цікаво відзначити, що електронний лист був відправлений з домену, замаскованого під Міністерство аграрної політики та продовольства України, в той час як його зміст стосується дефіциту ліків, а в PDF-файлі неправомірно використовується логотип Міністерства охорони здоров’я України”, – йдеться у звіті ESET, переданому виданню The Hacker News.

“Можливо, це помилка зловмисників або, принаймні, свідчить про те, що вони не подбали про всі деталі”.

Окрім ua-minagro[.]com , у цій хвилі для надсилання електронних листів використовувалося п’ять додаткових доменів:

• uaminagro[.]com
• minuaregion[.]org
• minuaregionbecareful[.]com
• uamtu[.]com
• minagroua[.]org

minuaregion[.]org та minuaregionbecareful[.]com маскуються під Міністерство з питань реінтеграції тимчасово окупованих територій України, законний сайт якого minre.gov.ua.

ESET в своєму звіті наводить ще два шаблони повідомлень електронної пошти, кожен з яких має окремий текст листа та PDF-додатки:

1. Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об’єкти енергетичної безпеки знаходяться під постійною загрозою. У зв’язку з цим, радимо взяти до уваги наступні рекомендації.

2. Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства рекомендує вам урізноманітнити раціон стравами з доступних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Пам’ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів.

Друга хвиля дезинформації спрямована також на українців закордоном

Друга дезінформаційна електронна кампанія, яка розпочалася 25 грудня 2023 року, вирізняється тим, що розширила свою цільову аудиторію за межі України, включивши україномовних користувачів в інших європейських країнах. Усі повідомлення були написані українською та російською мовами та надіслані різноманітним адресатам – від українського уряду до італійського виробника взуття.

У цих повідомленнях, хоча одержувачам і бажали щасливих свят, вони були написані в похмурому тоні, аж до пропозиції ампутувати одну з рук або ніг, щоб уникнути розгортання військових сил. “Кілька хвилин болю, але потім – щасливе життя!”, – йдеться в електронному листі.

ESET повідомила, що один з доменів, який використовувався для поширення фішингових листів у грудні 2023 року, infonotification[.]com, також займався розсилкою сотень спам-повідомлень, починаючи з 7 січня 2024 року, перенаправляючи потенційних жертв на фальшивий веб-сайт канадської аптеки.

Достеменно невідомо, чому цей поштовий сервер був перепрофільований для поширення аптечної афери, але є підозра, що зловмисники вирішили монетизувати свою інфраструктуру для отримання фінансової вигоди після того, як зрозуміли, що їхні домени були виявлені захисниками.

“Операція “Texonto” демонструє ще одне використання технологій для спроб вплинути на війну”, – зазначили в компанії.

Ця подія сталася після того, як компанія Meta у своєму щоквартальному звіті про ворожі загрози повідомила, що викрила на своїх платформах три мережі з Китаю, М’янми та України, які займалися скоординованою неавтентичною поведінкою (CIB).

Хоча жодна з цих мереж не була з росії, компанія Graphika, що займається аналізом соціальних мереж, повідомила, що обсяги публікацій у російських державних ЗМІ скоротилися на 55% порівняно з довоєнним рівнем, а активність користувачів впала на 94% порівняно з дворічною давністю.

“З початку війни російські державні ЗМІ зосередилися на неполітичному інформаційно-розважальному контенті та саморекламних наративах про росію”, – йдеться в повідомленні. “Це може відображати ширші позаплатформні зусилля, спрямовані на задоволення внутрішньої російської аудиторії після того, як багато західних країн заблокували ці ЗМІ у 2022 році”.

Ця стаття Операція “Texonto”: російські хакери атакують Україну дезінформацією та збором облікових даних раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія Hewlett Packard Enterprise (HPE) заявляє, що сумнозвісна російська хакерська група, що фінансується державою, зламала її системи, щоб отримати доступ до електронної пошти, що належить її відділам кібербезпеки та бізнесу.

Російським хакерам, які нещодавно зламали Microsoft, також вдалося проникнути в іншу велику ІТ-компанію: Hewlett Packard Enterprise.

Сьогодні HPE повідомила, що сумнозвісна хакерська група під назвою Midnight Blizzard або Cozy Bear, яка фінансується державою, зламала електронну пошту компанії. HPE вперше виявила атаку 12 грудня, але зловмисники могли мати доступ до системи протягом декількох місяців.

“На основі нашого розслідування ми вважаємо, що зловмисники отримали доступ до даних, починаючи з травня 2023 року, з невеликого відсотка поштових скриньок HPE, що належать особам, які працюють у наших відділах кібербезпеки, виведення на ринок, бізнес-сегментах та інших підрозділах”, – йдеться у повідомленні компанії, поданому до Комісії з цінних паперів і бірж США.

Незрозуміло, як зловмисники отримали доступ. Але схоже, що російські хакери атакували HPE на кількох фронтах. У своїй заяві компанія зазначила: “Цей інцидент, ймовірно, пов’язаний з попередньою діяльністю цього суб’єкта загрози, про яку повідомлялось в червні 2023 року, що включала несанкціонований доступ до обмеженої кількості файлів SharePoint і їх викрадення ще в травні 2023 року”. У відповідь на це HPE співпрацює з правоохоронними органами та зовнішніми експертами з кібербезпеки для усунення наслідків злому.

Цей злам має певну схожість з тим, як Cozy Bear націлився на Microsoft. Минулого тижня в Редмонді стало відомо, що хакери, які фінансуються державою, зламали системи Microsoft, щоб отримати доступ до корпоративної електронної пошти вищого керівництва і співробітників “кібербезпеки, юридичних та інших функцій”.

Ця стаття Російські хакери, які атакували Microsoft, також проникли в Hewlett Packard Enterprise раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Уряд США запровадив санкції проти громадянина росії за те, що він нібито відігравав “ключову роль” в атаці вірусу-здирника на австралійський гігант медичного страхування Medibank, який викрив конфіденційну інформацію майже 10 мільйонів пацієнтів.

Тридцятитрирічного Олександра Єрмакова, який також потрапив під санкції в Австралії та Великій Британії, звинувачують у проникненні в мережу Medibank у жовтні 2022 року з метою викрадення персональних даних (PII) та конфіденційної медичної інформації, пов’язаної з приблизно 9,7 мільйонами клієнтів.

Ці дані, які були опубліковані в даркнеті після того, як Medibank відмовився платити викуп у розмірі 10 мільйонів доларів США, включали імена клієнтів, дати народження, номери паспортів, інформацію про медичні претензії та конфіденційні файли, пов’язані з абортами та хворобами, пов’язаними з алкоголем. Вважається, що витік інформації вплинув на кількох відомих клієнтів “Medibank”, в тому числі на високопоставлених австралійських законодавців.

У вівторок ім’я Єрмакова вперше було названо урядом Австралії, який “невтомно працював протягом останніх 18 місяців, щоб викрити відповідальних за кібератаку на Medibank”, – заявив у своїй заяві Річард Марлз, віце-прем’єр-міністр і міністр оборони Австралії.

Міністерство фінансів США запровадило санкції проти Єрмакова невдовзі після того, як австралійський уряд запровадив перші у своєму роді санкції проти громадянина росії. Ці санкції, які стали першими в рамках нової системи кіберсанкцій Австралії, визнають кримінальним злочином, що карається позбавленням волі на строк до 10 років і великими штрафами, надання активів Олександру Єрмакову, використання його активів або операції з ними, в тому числі за допомогою криптовалютних гаманців або програм-вимагачів.

Вважається, що Єрмаков та інші хакери, які стоять за зламом “Medibank”, пов’язані з підтримуваним росією кіберзлочинним угрупованням REvil, яке раніше було пов’язане зі зламом у 2021 році постачальника керованих послуг Kaseya, що базується у Флориді, в результаті якого були зашифровані тисячі мереж його клієнтів.

За даними Казначейства США, програма-вимагач REvil була розгорнута приблизно на 175 000 комп’ютерах по всьому світу, зібравши щонайменше 200 мільйонів доларів США у вигляді викупу.

Ця стаття США, Австралія та Британія запровадили санкції проти російського хакера за кібератаку на Medibank раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У п’ятницю Microsoft повідомила, що хакерська група, яку вона називає Midnight Blizzard, також відома як APT29 або Cozy Bear – і яку, як вважають, спонсорує російський уряд – зламала деякі корпоративні електронні поштові скриньки, в тому числі скриньки “вищого керівництва компанії і співробітників, які займаються кібербезпекою, юридичними та іншими функціями”.

Цікаво, що хакери не полювали за даними клієнтів або традиційною корпоративною інформацією, за якою вони зазвичай полювали. Вони хотіли дізнатися більше про себе, а точніше, вони хотіли дізнатися, що Microsoft знає про них, повідомляє компанія.

“Розслідування вказує на те, що вони спочатку націлювалися на електронні поштові скриньки для отримання інформації, пов’язаної з самою Midnight Blizzard”, – написала компанія у своєму блозі та у повідомленні для SEC.

За даними Microsoft, хакери застосували “атаку розпилення паролів” – по суті, грубий підбір – проти застарілого облікового запису, а потім використали дозволи цього облікового запису “для доступу до дуже невеликого відсотка корпоративних електронних поштових скриньок Microsoft”.

Microsoft не повідомила, скільки облікових записів електронної пошти було зламано, а також яку саме інформацію хакери отримали доступ або викрали.

Microsoft скористалася новиною про цей злам, щоб розповісти про те, як вони збираються рухатися далі, щоб зробити себе більш захищеними.

“Для Microsoft цей інцидент підкреслив нагальну необхідність рухатися ще швидше. Ми будемо діяти негайно, щоб застосувати наші поточні стандарти безпеки до застарілих систем і внутрішніх бізнес-процесів, що належать Microsoft, навіть якщо ці зміни можуть спричинити порушення існуючих бізнес-процесів”, – написали в компанії. “Це, ймовірно, спричинить певний збій, поки ми адаптуємося до нової реальності, але це необхідний крок, і лише перший з декількох, які ми зробимо, щоб прийняти цю філософію”.

APT29, або Cozy Bear, вважається російською хакерською групою, відповідальною за низку гучних атак, зокрема, проти SolarWinds у 2019 році та багатьох інших.

Ця стаття Хакери зламали Microsoft, щоб дізнатися, що Microsoft знає про них раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Українські органи кібербезпеки виявили, що російські державні хакери з угруповання, відомого як Sandworm, перебували у системах телекомунікаційного оператора “Київстар” щонайменше з травня 2023 року.

Про це вперше повідомило агентство Reuters.

Про інцидент, описаний як “потужна хакерська атака”, вперше стало відомо минулого місяця. Атака призвела до втрати доступу до мобільних та інтернет-послуг для мільйонів українців. Невдовзі після інциденту пов’язана з росією хакерська група під назвою “Солнцепек” взяла на себе відповідальність за атаку. При цьому, як раніше повідомляли у Держспецзв’язку, з високим рівнем упевненості активність цієї групи асоціюється з діяльністю угруповання Sandworm.

Ілля Вітюк, голова департаменту кібербезпеки Служби безпеки України (СБУ), підтвердив, що за цією атакою стоїть хакерське угруповання Sandworm, яке є штатним підрозділом російської воєнної розвідки і раніше неодноразово здійснювало кібератаки на українські об’єкти, зокрема і на операторів зв’язку та інтернет-провайдерів. Нагадаємо, що Sandworm потрапив до рейтингу найнебезпечніших людей в Інтернеті 2023 року по версії WIRED.

Ця група має досвід організації руйнівних кібератак, зокрема, Данія звинуватила цю хакерську групу в тому, що минулого року вона атакувала 22 компанії енергетичного сектору.

Ілля Вітюк також заявив, що атака на “Київстар” знищила майже всю інформацію з тисяч віртуальних серверів і комп’ютерів.

За його словами, інцидент “повністю знищив ядро телекомунікаційного оператора”, зазначивши, що зловмисники мали повний доступ, ймовірно, щонайменше з листопада, через кілька місяців після того, як отримали початковий доступ до інфраструктури компанії.

“Атака ретельно готувалася протягом багатьох місяців”, – сказав Вітюк у заяві, опублікованій на сайті СБУ.

Загалом, за словами Іллі Вітюка, з початку повномасштабного вторгнення Служба безпеки відпрацювала майже 9 тис. кібератак на державні ресурси та об’єкти критичної інфраструктури України.

Атака на “Київстар”, можливо, була легшою для хакерів  через схожість між ним і російським мобільним оператором “Білайн”, який був побудований на схожій інфраструктурі, сказав Вітюк.

Руйнування “Київстару” почалося 12 грудня близько 5:00 ранку за місцевим часом, коли президент України Володимир Зеленський перебував у Вашингтоні, закликаючи Захід продовжувати надавати допомогу.

Чому хакери обрали саме 12 грудня, незрозуміло, сказав він, додавши, що це не було випадковістю: “Можливо, якийсь полковник хотів стати генералом”.

Компанія “Київстар”, яка вже відновила свою роботу, заявила, що немає жодних доказів того, що персональні дані абонентів були скомпрометовані. Наразі невідомо, як зловмисник проник у мережу оператора.

Варто зазначити, що раніше компанія відкидала припущення про те, що зловмисники знищили її комп’ютери та сервери, як “фейкові”.

Ця інформація з’явилася після того, як раніше цього тижня СБУ повідомила, що вилучила дві камери онлайн-спостереження, які, ймовірно, були зламані російськими спецслужбами з метою шпигунства за силами оборони та об’єктами критичної інфраструктури в столиці України – Києві.

За даними відомства, компрометація дозволила зловмисникам отримати дистанційний контроль над камерами, налаштувати їхні кути огляду та підключити їх до YouTube, щоб захопити “всю візуальну інформацію в межах досяжності камери”.

Ця стаття Російські хакери місяцями мали прихований доступ до систем “Київстар” раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Влада США висунула звинувачення російським хакерам, пов’язаним з федеральною службою безпеки росії (фсб), в тому, що вони проводили багаторічну кампанію кібершпигунства, націлену на урядових чиновників.

7 грудня Міністерство юстиції США заявило, що Руслан Олександрович Перетятько, співробітник розвідувальної служби фсб, та ІТ-спеціаліст Андрій Станіславович Корінець намагалися скомпрометувати комп’ютери співробітників кількох урядових установ США, включаючи Міністерство оборони та Міністерство енергетики, в період з жовтня 2016 року по жовтень 2022 року.

В обвинувальному висновку також стверджується, що змовники, відомі під назвою “Callisto Group”, націлювалися на військових і державних службовців, дослідників і співробітників аналітичних центрів, а також журналістів у Великій Британії та інших країнах, використовуючи складні фішингові електронні листи, які нібито надходили від провайдерів електронної пошти з повідомленнями про те, що користувачі порушили умови надання послуг.

Ці електронні листи, які містили шкідливі домени, створені Callisto Group для збору облікових даних жертв, дозволили зловмисникам отримати несанкціонований доступ і отримати “цінну розвідувальну інформацію” з облікових записів жертв, яка включала розвідувальні дані, пов’язані з оборонною, зовнішньою та безпековою політикою США, згідно з обвинувальним висновком Мін’юсту.

Інформація, отримана “з певних акаунтів”, також потрапляла в пресу в росії і Великобританії напередодні виборів у Великобританії в 2019 році, як стверджує Мін’юст, в рамках кампанії з дезінформації за допомогою хакерських атак і витоку інформації.

Раніше уряд Великої Британії оголосив, що також виявив “тривалі невдалі спроби” фсб втрутитися в політичні процеси у Великій Британії і наклав санкції на Перетятька і Корінця за фішингові кампанії та пов’язану з ними діяльність, яка “призвела до несанкціонованого доступу і витоку конфіденційних даних, що мало на меті підірвати британські організації і, в більш широкому сенсі, уряд Великої Британії”.

Національний центр кібербезпеки Великої Британії, що входить до складу GCHQ, заявив, що хакери “майже напевно підпорядковувалися” фсб і вибірково зливали отриману інформацію “відповідно до цілей російської конфронтації, в тому числі з метою підриву довіри до політики у Великій Британії та країнах-однодумцях”.

Міністерство фінансів США також оголосило про санкції проти Перетятька і Корінця, а Державний департамент пропонує винагороду в розмірі 10 мільйонів доларів за інформацію, яка допоможе встановити їхню особу та місцезнаходження.

Callisto Group, яку Microsoft називає “Star Blizzard”, а Група аналізу загроз Google – “Cold Driver”, відома проведенням довготривалих шпигунських кампаній проти країн НАТО, зокрема, США та Великої Британії. У травні 2022 року дослідники Google приписали цій групі операцію зі зламу і витоку інформації, в результаті якої було викрадено і злито величезну кількість електронних листів і документів високопоставлених прихильників Brexit, в тому числі сера Річарда Дірлава, колишнього керівника британської служби зовнішньої розвідки МІ-6.

Джерело: Techcrunch

Ця стаття США висунули звинувачення російським хакерам у багаторічній кампанії кібершпигунства проти західних країн раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Кіберфахівці СБУ допомагають “Київстару” відновити роботу мережі після масштабної кібератаки, яку здійснило російське хакерське угруповання.

Кіберфахівці СБУ та спеціалісти “Київстару” продовжують працювати над відновленням мережі оператора після масштабної кібератаки, яка сталася 12 грудня.

За попередніми розрахунками, 13 грудня планується відновити фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету.

Цифровій інфраструктурі “Київстару” було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу.

Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності.

СБУ продовжує документувати кібератаку рф по цивільній інфраструктурі України як черговий воєнний злочин рашистів.

Ця стаття Кібератака рф по “Київстару”: СБУ документує воєнний злочин раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня